一、AD域、LDAP简介
在行云管家私有部署正式使用后,您可以通过配置您的AD域或LDAP服务器,来开启当前部署的行云管家私有部署的AD域或LDAP功能。
二、配置AD域、LDAP
在行云管家管理控制台里,您可以配置一个或多个AD域/LDAP;
2.1、登录行云管家管理控制台
请登录进入行云管家管理控制台;
2.2、进入配置界面
在“团队管理”菜单下找到“基础设置”下的“用户登录认证方式”页面,点击“认证服务器”框里的“立即配置”按钮即可开始配置;
2.3、设置AD域/LDAP信息
2.3.1、设置AD域信息(LDAP请参照第2.3.2条)
(a)服务器地址:请输入AD域的服务器IP地址;
(b)SSL:如果您AD域开启了SSL,请在这里也选择开启,一般AD域默认没有开SSL;
(c)服务端口:请输入AD域的服务端口,默认是389
(d)Base DN:如图,请填写DC=cloudbility,DC=cn
(e)部门过滤:如图,右键一个组织单元,查看属性,可以看到objectClass一般都有organizationalUnit这个值;
建议直接用默认objectClass=organizationalUnit
(f)用户过滤:如图,右键一个用户,查看属性,可以看到objectClass一般都有person这个值;
建议填写objectClass=(&(objectCategory=person)(objectClass=user))
(g)管理员账号:一般是administrator@uniic.com 或 sv003@bbc.loc这种格式;
(h)管理员密码:请填写密码;
2.3.2、设置LDAP信息(AD域请参照第2.3.1条)
(a)服务器地址:请输入LDAP的服务器IP地址;
(b)SSL:如果您LDAP开启了SSL,请在这里也选择开启,一般AD域默认没有开SSL;
(c)服务端口:请输入LDAP的服务端口,默认是389
(d)Base DN:如图,请参照您LDAP原本的基层DN地址进行填写,如图请填写dc=gzapp1,dc=cmcc
(e)部门过滤:如图,查看组织单元的属性,可以看到objectClass=organizationalUnit
(f)用户过滤:如图,查看用户的属性,可以看到objectClass=cmcc-Account或top
(g)管理员账号:如图,参照“使用者 DN”,请填写cn=Administrator,dc=gzapp1,dc=cmcc;
(h)管理员密码:请填写密码;
2.4、设置属性映射关系
映射属性一般指的是右键“用户”时“属性”里对应的“属性”,如图:
(a) 账号:一般默认即可,选择userPrincipalName或sAMAccountName;
(b) 昵称:一般默认即可,选择cn或name、displayName;
(c) 性别、手机、邮箱:如无特别需要一般默认选择不同步;
(d)为对应账户添加后缀以确保账户唯一性(注意:勾选后填写的后缀确认后是不能修改的!)
当您部署多个认证服务时,如果多个认证服务器中的账户出现账号相同的情况,系统将通过后缀来确保向对应的认证服务器发送认证信息;
注意:如果设置后缀,请以“账号”加“后缀”作为用户名登录行云管家,例如设置后缀为@bill后,实际用户名是zhangsan@cloud.com@bill
2.5、AD域/LDAP配置完成
点击“完成”后,如图,到此AD域/LDAP配置完成。接下来我们就可以对该AD域/LDAP进行“基本信息”编辑、“用户管理”、“AD域/LDAP”删除,以及添加其他的“AD域/LDAP”(可导入多个AD域/LDAP);
三、AD域/LDAP-基本信息
3.1、基本信息
点击“基本信息”;
3.2、备用AD域/LDAP服务器
您除了可以编辑如图“基本信息”下的所有选项,在您的AD域/LDAP服务器有多IP的前提下,还可以在“备用服务器”里填写您当前AD域/LDAP服务器的其他IP;
3.3、用户属性映射
在“基本信息”里可以管理“用户属性映射”;
四、AD域/LDAP-用户管理
在“用户管理”里可以选择“导入用户”、“映射用户管理”、“定时同步设置”;
4.1、导入用户
点击“用户管理”里的“导入用户”后,选择要导入的用户;
给刚导入的用户指定“角色”,指定后该用户将拥有相关角色的权限;
点击“完成”后可以看到这里会显示已导入的用户数;
4.2、映射用户管理
点击“用户管理”里的“映射用户管理”;
(1)同步已导入到行云管家的AD域/LDAP用户信息;
同步后,行云管家用户的昵称、手机号、邮箱等将会被AD域/LDAP中的相关信息所覆盖;
(2)新增映射用户;
对需要新增映射的行云管家用户,点击“设置”,在AD域/LDAP的用户里选择需要映射的用户即可。
4.3、定时同步设置
点击“用户管理”里的“定时同步设置”,可以选择在AD域/LDAP的用户发生变化时,是否需要通过定时同步来同步AD域/LDAP中的最新用户信息;
五、AD域/LDAP-删除
删除后,已映射用户将会在系统中保留,您可以手动删除用户或为留存用户重置本地密码以使账号生效;
六、延伸阅读
6.1、门户登录使用AD域账号如何不带后缀登录
(1)点击管理控制台AD域界面“基本信息”里的“用户属性映射”,把“账号”改为sAMAccountName,“昵称”改为cn
(2)点击“映射用户管理”;
(3)勾选要不带后缀登录的用户,点击“同步”,设置完成;
(4)点击“用户管理”,可以看到刚同步的用户,当前登录账号就是不带后缀的格式,可以通过此账号直接登录;